官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
管理能力才是关键痛点
关于安全预算的讨论往往聚焦于如何说服董事会批准投资。部分方法采用特定财务模型证明投资回报率(ROI),另一些则侧重风险量化与缓解证明。这些方法的共同点在于数据支撑与理性论证。但关键问题在于:大型组织的决策真会如此理性吗?实际上,这些方法论是过去二十年间CISO(首席信息安全官)和安全顾问构建的自下而上说服体系。根据我的观察,这与企业真实决策机制存在三重矛盾。
理想叙事与现实落差
企业决策表面理性,实则受认知偏差影响——正如丹尼尔·卡尼曼学派所揭示。在网络安全领域尤为明显:经历过以下场景的安全从业者都深有体会——曾被拒绝的预算突然超额获批,原因可能是:
- 面临监管审查
- 审计报告结果不佳
- 突发安全事件引发震动
此时罕有人讨论ROI或风险缓解。高管更关注如何证明其履职尽责——若出现重大漏洞,执行不力者需担责(CISO常沦为"首席背锅官")。更重要在于,董事会已形成共识:网络攻击不是"是否"发生,而是"何时"发生的问题。历经二十年持续泄露事件后,已难觅对业务影响毫无认知的董事成员。
资源不足只是表象
与多位CIO(首席信息官)的对话揭示:他们坦言网络安全预算申请基本畅通,真正困境在于交付安全项目成果。为何会出现CISO抱怨资源不足,而高管已认知投资必要性的矛盾?
网络安全项目天然复杂——需跨越企业孤岛与地理边界实现有效防护,这在存在地域与政治因素的大型企业中尤为困难。更深层原因在于CISO的群体特征:多数具技术背景,过去十年忙于应急响应,缺乏制定/执行长期战略的经验。当需要站上管理层舞台时,他们往往缺乏必要的政治智慧与领导魅力。
许多人将安全成熟度不足归咎于长期投资不足,实则核心问题在于:
- 取得"速赢"或完成合规报告后项目即遭搁置
- 高管更替引发方向变更
- 市场波动初现即叫停计划
这些现象揭示文化与治理缺陷才是本质问题。未能融入企业文化的CISO常被排除在决策圈外,导致平均任期仅2-3年。频繁更替进一步恶化管理与领导力失衡——须知大型企业的转型绝非两三年可成。高管同样受困于CISO"旋转门"现象:新官带着宏大计划与千万预算上任,数年后再留下半途而废的项目。
百日定成败
关键矛盾往往在CISO上任百日形成。许多安全决策者带着预设方案入职(有些甚至在面试阶段就已形成),包括既往成功经验、个人偏好或合作方推荐。更多人急于在百日内证明技术专长——这实属误区。专业能力本是入职前提,真正挑战在于:
- 展现融入组织架构的能力
- 建立领导权威
建议采取以下策略:
- 倾听利益相关方诉求,理解其痛点
- 分析前任得失
- 协同制定安全战略(让各方视战略为己出)
- 融入企业治理与领导力体系
唯有洞察企业文化脉络的安全决策者,才能进入真正的非正式决策网络。至此预算讨论将转为信任伙伴间的协作。反之,沉迷技术证明的CISO将陷入救火循环难以脱身——虽被视为可靠执行者,却永远无缘"战略圆桌"。
未来属于那些认知到"建立影响力优先于实施措施"的CISO。董事会已无需被说服网络安全的重要性,他们需要的是:
- 具备文化洞察力的领导者
- 能驾驭复杂组织动态的协调者
- 可建立全域信任的沟通者
- 能突破孤岛实现落地的执行者
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)